序章

認証局(CA)は、インターネット上のIDを検証するためのデジタル証明書の発行を担当するエンティティです。 パブリックCAは、一般の人々に提供されるWebサイトやその他のサービスのIDを確認するための一般的な選択肢ですが、プライベートCAは通常、クローズドグループやプライベートサービスに使用されます。

プライベート認証局を構築すると、クライアントとサーバー間の暗号化された接続を必要とするプログラムを構成、テスト、および実行できるようになります。 プライベートCAを使用すると、インフラストラクチャ内のユーザー、サーバー、または個々のプログラムとサービスの証明書を発行できます。

独自のプライベートCAを使用するLinux上のプログラムの例としては、OpenVPNおよびPuppetがあります。 開発環境とステージング環境をTLSを使用して接続を暗号化する実稼働サーバーと一致させるために、プライベートCAによって発行された証明書を使用するようにWebサーバーを構成することもできます。

このガイドでは、Ubuntu 20.04サーバーにプライベート認証局を設定する方法と、新しいCAを使用してテスト証明書を生成して署名する方法を学習します。 また、CAサーバーの公開証明書をオペレーティングシステムの証明書ストアにインポートして、CAとリモートサーバーまたはユーザー間の信頼の鎖を確認する方法についても学習します。 最後に、証明書を失効させ、証明書失効リストを配布して、許可されたユーザーとシステムのみがCAに依存するサービスを使用できるようにする方法を学習します。

前提条件

このチュートリアルを完了するには、CAサーバーをホストするUbuntu20.04サーバーにアクセスする必要があります。 このガイドを開始する前に、root以外のユーザーにsudo権限を設定する必要があります。 Ubuntu 20.04初期サーバーセットアップガイドに従って、適切な権限を持つユーザーをセットアップできます。 リンクされたチュートリアルでは、ファイアウォールも設定されます。これは、このガイド全体で使用されていると想定されています。

このチュートリアルでは、このサーバーをCAサーバーと呼びます。

CAServerがスタンドアロンシステムであることを確認します。 これは、証明書要求のインポート、署名、および取り消しにのみ使用されます。 他のサービスを実行しないでください。理想的には、CAをアクティブに操作していないときは、オフラインになるか、完全にシャットダウンされます。

注:証明書の署名と取り消しについて学習したい場合、このチュートリアルの最後のセクションはオプションです。 これらの練習手順を完了することを選択した場合は、2台目のUbuntu 20.04サーバーが必要になります。または、UbuntuまたはDebian、あるいはこれらのいずれかから派生したディストリビューションを実行する独自のローカルLinuxコンピューターを使用することもできます。

ステップ1—Easy-RSAのインストール

このチュートリアルの最初のタスクは、easy-rsaスクリプトセットをCAサーバにインストールすることです。 easy-rsaは、秘密鍵と公開ルート証明書を生成するために使用する認証局管理ツールであり、CAに依存するクライアントおよびサーバーからの要求に署名するために使用します。

初期設定手順で作成したroot以外のsudoユーザとしてCAServerにログインし、以下を実行します。

  1. sudo apt update
  2. sudo apt install easy-rsa

パッケージをダウンロードしてインストールするように求められます。 yを押して、パッケージをインストールすることを確認します。

この時点で、必要なものがすべてセットアップされ、Easy-RSAを使用する準備が整いました。 次のステップでは、公開鍵インフラストラクチャを作成してから、認証局の構築を開始します。

ステップ2—公開鍵インフラストラクチャディレクトリの準備

easy-rsaをインストールしたので、CAサーバーにスケルトン公開鍵インフラストラクチャ(PKI)を作成します。 root以外のユーザーとしてログインしていることを確認し、easy-rsaディレクトリを作成します。 通常のユーザーは昇格された特権なしでCAを管理および操作する必要があるため、sudoを使用して次のコマンドを実行しないでください。

  1. mkdir ~/easy-rsa

これにより、ホームフォルダにeasy-rsaという新しいディレクトリが作成されます。 このディレクトリを使用して、前の手順でインストールしたeasy-rsaパッケージファイルを指すシンボリックリンクを作成します。 これらのファイルは、CAサーバの/usr/share/easy-rsaフォルダにあります。

lnコマンドを使用してシンボリックリンクを作成します。

  1. ln -s /usr/share/easy-rsa/* ~/easy-rsa/

注:他のガイドがeasy-rsaパッケージファイルをPKIディレクトリにコピーするように指示する場合がありますが、このチュートリアルではシンボリックリンクアプローチを採用しています。 その結果、easy-rsaパッケージへの更新は、PKIのスクリプトに自動的に反映されます。

新しいPKIディレクトリへのアクセスを制限するには、chmodコマンドを使用して所有者のみがアクセスできるようにします。

  1. chmod 700 /home/sammy/easy-rsa

最後に、easy-rsaディレクトリ内のPKIを初期化します。

  1. cd ~/easy-rsa
  2. ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /home/sammy/easy-rsa/pki

このセクションを完了すると、認証局の作成に必要なすべてのファイルを含むディレクトリが作成されます。 次のセクションでは、CAの秘密鍵と公開証明書を作成します。

ステップ3—認証局を作成する

CAの秘密鍵と証明書を作成する前に、varsというファイルを作成していくつかのデフォルト値を入力する必要があります。 最初にcdeasy-rsaディレクトリに配置し、次にvarsファイルをnanoまたはお好みのテキストエディタで作成および編集します。

  1. cd ~/easy-rsa
  2. nano vars

ファイルを開いたら、次の行を貼り付け、強調表示された各値を編集して、独自の組織情報を反映させます。 ここで重要なのは、値を空白のままにしないようにすることです。

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US" set_var EASYRSA_REQ_PROVINCE "NewYork" set_var EASYRSA_REQ_CITY "New York City" set_var EASYRSA_REQ_ORG "DigitalOcean" set_var EASYRSA_REQ_EMAIL "[email protected]" set_var EASYRSA_REQ_OU "Community" set_var EASYRSA_ALGO "ec" set_var EASYRSA_DIGEST "sha512"

終了したら、ファイルを保存して閉じます。 nanoを使用している場合は、CTRL+XYENTERの順に押して確定します。 これで、CAを構築する準備が整いました。

認証局のルート公開鍵と秘密鍵のペアを作成するには、./easy-rsaコマンドを再度実行します。今回は、build-caオプションを使用します。

  1. ./easyrsa build-ca

出力には、OpenSSLバージョンに関するいくつかの行が表示され、キーペアのパスフレーズを入力するように求められます。 必ず強力なパスフレーズを選択し、安全な場所に書き留めてください。 証明書に署名したり取り消したりするなど、CAとやり取りする必要があるときはいつでも、パスフレーズを入力する必要があります。

また、CAの共通名(CN)を確認するように求められます。 CNは、認証局のコンテキストでこのマシンを参照するために使用される名前です。 CAの共通名には任意の文字列を入力できますが、簡単にするために、Enterキーを押してデフォルト名を受け入れます。

Output
. . . Enter New CA Key Passphrase: Re-Enter New CA Key Passphrase: . . . Common Name (eg: your user, host, or server name) [Easy-RSA CA]: CA creation complete and you may now import and sign cert requests. Your new CA certificate file for publishing is at: /home/sammy/easy-rsa/pki/ca.crt

注: CAと対話するたびにパスワードの入力を求められたくない場合は、nopassオプションを指定してbuild-caコマンドを実行できます。これ:

  1. ./easyrsa build-ca nopass

これで、認証局のパブリックコンポーネントとプライベートコンポーネントを構成する~/easy-rsa/pki/ca.crt~/easy-rsa/pki/private/ca.keyの2つの重要なファイルができました。

  • ca.crtは、CAの公開証明書ファイルです。 ユーザー、サーバー、およびクライアントは、この証明書を使用して、それらが同じ信頼のWebの一部であることを確認します。 CAを使用するすべてのユーザーとサーバーは、このファイルのコピーを持っている必要があります。 すべての関係者は、誰かがシステムになりすまして中間者攻撃を実行していないことを確認するために、公開証明書に依存します。

  • ca.keyは、CAがサーバーとクライアントの証明書に署名するために使用する秘密鍵です。 攻撃者があなたのCAにアクセスし、次にあなたのca.keyファイルにアクセスした場合、あなたはあなたのCAを破壊する必要があります。 これが、ca.keyファイルがCAマシン上にのみあるべきであり、理想的には、追加のセキュリティ対策として証明書要求に署名しない場合、CAマシンをオフラインに保つ必要がある理由です。

これで、CAが配置され、証明書要求に署名したり、証明書を失効させたりするために使用できるようになります。

ステップ4—認証局の公開証明書を配布する

これで、CAが構成され、それを使用するように構成するシステムの信頼のルートとして機能する準備が整いました。 CAの証明書をOpenVPNサーバー、Webサーバー、メールサーバーなどに追加できます。 ネットワーク内の別のユーザーまたはサーバーのIDを確認する必要があるユーザーまたはサーバーは、ca.crtファイルのコピーをオペレーティングシステムの証明書ストアにインポートする必要があります。

CAの公開証明書を別のサーバーやローカルコンピューターなどの2番目のLinuxシステムにインポートするには、最初にCAサーバーからca.crtファイルのコピーを取得します。 catコマンドを使用して端末に出力し、証明書をインポートしている2台目のコンピューター上のファイルにコピーして貼り付けることができます。 scprsyncなどのツールを使用して、システム間でファイルを転送することもできます。 ただし、すべてのシステムで機能するため、このステップではnanoでコピーアンドペーストを使用します。

CA Serverのroot以外のユーザとして、次のコマンドを実行します。

  1. cat ~/easy-rsa/pki/ca.crt

次のような出力が端末に表示されます。

Output
-----BEGIN CERTIFICATE----- MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQEL BQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw . . . . . . -----END CERTIFICATE-----

-----BEGIN CERTIFICATE----------END CERTIFICATE-----の線と破線を含むすべてをコピーします。

2番目のLinuxシステムでは、nanoまたはお好みのテキストエディタを使用して、/tmp/ca.crtというファイルを開きます。

  1. nano /tmp/ca.crt

CAServerからコピーした内容をエディタに貼り付けます。 終了したら、ファイルを保存して閉じます。 nanoを使用している場合は、CTRL+XYENTERの順に押して確定します。

2番目のLinuxシステムにca.crtファイルのコピーができたので、次に、オペレーティングシステムの証明書ストアに証明書をインポートします。

UbuntuおよびDebianベースのシステムでは、root以外のユーザーとして次のコマンドを実行して、証明書をインポートします。

UbuntuとDebianから派生したディストリビューション
  1. sudo cp /tmp/ca.crt /usr/local/share/ca-certificates/
  2. sudo update-ca-certificates

CentOS、Fedora、またはRedHatベースのシステムにCAサーバーの証明書をインポートするには、前の例と同じように、ファイルの内容を/tmp/ca.crtというファイルにコピーしてシステムに貼り付けます。 次に、証明書を/etc/pki/ca-trust/source/anchors/にコピーしてから、update-ca-trustコマンドを実行します。

CentOS、Fedora、RedHatディストリビューション
  1. sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  2. sudo update-ca-trust

これで、2番目のLinuxシステムは、CAサーバーによって署名されたすべての証明書を信頼します。

注: WebサーバーでCAを使用していて、Firefoxをブラウザーとして使用している場合は、パブリックca.crt証明書をFirefoxに直接インポートする必要があります。 Firefoxはローカルオペレーティングシステムの証明書ストアを使用しません。 CAの証明書をFirefoxに追加する方法の詳細については、 Firefoxでの認証局(CA)の設定に関するMozillaのこのサポート記事を参照してください。

CAを使用してWindows環境またはデスクトップコンピューターと統合している場合は、certutil.exeを使用してCA証明書をインストールする方法に関するドキュメントを参照してください。

このチュートリアルを別のチュートリアルの前提条件として使用している場合、または証明書に署名して取り消す方法に精通している場合は、ここで停止できます。 証明書に署名して取り消す方法について詳しく知りたい場合は、次のオプションのセクションで各プロセスについて詳しく説明します。

(オプション)—証明書署名要求の作成と証明書の取り消し

チュートリアルの次のセクションはオプションです。 これまでのすべての手順を完了した場合は、他のチュートリアルの前提条件として使用できる、完全に構成され機能している認証局があります。 CAのca.crtファイルをインポートして、CAによって署名されたネットワーク内の証明書を確認できます。

証明書要求に署名する方法、および証明書を取り消す方法について練習し、詳細を知りたい場合は、これらのオプションのセクションで、両方のプロセスがどのように機能するかを説明します。

(オプション)—実践証明書リクエストの作成と署名

CAを使用する準備ができたので、秘密鍵と証明書の要求の生成を練習して、署名と配布のプロセスに慣れることができます。

証明書署名要求(CSR)は、要求システムに関する識別情報である公開鍵と、要求側の秘密鍵を使用して作成された要求自体の署名の3つの部分で構成されます。 秘密鍵は秘密にされ、署名された公開証明書を持っている人なら誰でも復号化できる情報を暗号化するために使用されます。

次の手順は、2番目のUbuntuまたはDebianシステム、あるいはこれらのいずれかから派生したディストリビューションで実行されます。 別のリモートサーバー、またはラップトップやデスクトップコンピューターなどのローカルLinuxマシンの場合があります。 easy-rsaはデフォルトですべてのシステムで使用できるわけではないため、opensslツールを使用して練習用の秘密鍵と証明書を作成します。

opensslは通常、ほとんどのLinuxディストリビューションにデフォルトでインストールされますが、念のため、システムで次のコマンドを実行してください。

  1. sudo apt update
  2. sudo apt install openssl

opensslをインストールするように求められたら、yと入力して、インストール手順を続行します。 これで、opensslを使用して実践的なCSRを作成する準備が整いました。

CSRを作成するために完了する必要がある最初のステップは、秘密鍵を生成することです。 opensslを使用して秘密鍵を作成するには、practice-csrディレクトリを作成し、その中に鍵を生成します。 ユーザーまたは別のCAを識別するために使用される証明書を作成するのではなく、sammy-serverと呼ばれる架空のサーバーに対してこの要求を行います。

  1. mkdir ~/practice-csr
  2. cd ~/practice-csr
  3. openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes) . . . . . . e is 65537 (0x010001)

秘密鍵ができたので、opensslユーティリティを使用して対応するCSRを作成できます。 国、州、市などのいくつかのフィールドに入力するように求められます。 フィールドを空白のままにする場合は、.を入力できますが、これが実際のCSRである場合は、場所と組織に正しい値を使用するのが最善であることに注意してください。

  1. openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . . ----- Country Name (2 letter code) [XX]:US State or Province Name (full name) []:New York Locality Name (eg, city) [Default City]:New York City Organization Name (eg, company) [Default Company Ltd]:DigitalOcean Organizational Unit Name (eg, section) []:Community Common Name (eg, your name or your server's hostname) []:sammy-server Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

インタラクティブプロンプトではなく、openssl呼び出しの一部としてこれらの値を自動的に追加する場合は、-subj引数をOpenSSLに渡すことができます。 練習場所、組織、サーバー名に一致するように、強調表示された値を必ず編集してください。

  1. openssl req -new -key sammy-server.key -out server.req -subj \
  2. /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

CSRの内容を確認するには、opensslを含むリクエストファイルを読み込んで、次のフィールドを調べます。

  1. openssl req -in sammy-server.req -noout -subject
Output
subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

練習証明書リクエストの件名に満足したら、scpを使用してsammy-server.reqファイルをCAサーバーにコピーします。

  1. scp sammy-server.req [email protected]your_ca_server_ip:/tmp/sammy-server.req

このステップでは、sammy-serverという架空のサーバーの証明書署名要求を生成しました。 実際のシナリオでは、要求は、テスト用にTLS証明書を必要とするステージングまたは開発Webサーバーのようなものからのものである可能性があります。 または、ユーザーがVPNに接続できるように証明書を要求しているOpenVPNサーバーから取得することもできます。 次のステップでは、CAServerの秘密鍵を使用して証明書署名要求に署名します。

(オプション)—CSRへの署名

前の手順では、架空のサーバーの練習証明書リクエストとキーを作成しました。 これをCAサーバーの/tmpディレクトリにコピーし、署名が必要なCSR要求を送信する実際のクライアントまたはサーバーがある場合に使用するプロセスをエミュレートしました。

架空のシナリオを続けると、CAServerは練習証明書をインポートして署名する必要があります。 証明書要求がCAによって検証され、サーバーに中継されると、認証局を信頼するクライアントは、新しく発行された証明書も信頼できるようになります。

easy-rsaユーティリティを使用できるCAのPKI内で動作するため、署名手順では、opensslを使用するのではなく、easy-rsaユーティリティを使用して作業を簡単にします。前の例で行ったように直接。

架空のCSRに署名するための最初のステップは、easy-rsaスクリプトを使用して証明書要求をインポートすることです。

  1. cd ~/easy-rsa
  2. ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output
. . . The request has been successfully imported with a short name of: sammy-server You may now use this name to perform signing operations on this request.

これで、sign-reqオプションを指定してeasyrsaスクリプトを実行し、続いて要求タイプとCSRに含まれる共通名を実行して要求に署名できます。 リクエストタイプは、clientserver、またはcaのいずれかになります。 架空のサーバーの証明書を使用して練習しているため、必ずserverリクエストタイプを使用してください。

  1. ./easyrsa sign-req server sammy-server

出力では、リクエストが信頼できるソースからのものであることを確認するように求められます。 yesと入力し、ENTERを押して、これを確認します。

Output
You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender. Request subject, to be signed as a server certificate for 3650 days: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes . . . Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

CAキーを暗号化した場合は、この時点でパスワードの入力を求められます。

これらの手順が完了すると、/home/sammy/easy-rsa/pki/private/ca.keyのCAサーバーの秘密鍵を使用してsammy-server.reqCSRに署名したことになります。 結果のsammy-server.crtファイルには、練習用サーバーの公開暗号化キーと、CAサーバーからの新しい署名が含まれています。 署名のポイントは、CAを信頼するすべての人に、sammy-server証明書も信頼できることを伝えることです。

この要求がWebサーバやVPNサーバなどの実サーバに対するものである場合、CAサーバでの最後のステップは、新しいsammy-server.crtおよびca.crtファイルをCAサーバからリモートに配布することです。 CSR要求を行ったサーバー:

  1. scp pki/issued/sammy-server.crt [email protected]your_server_ip:/tmp
  2. scp pki/ca.crt [email protected]your_server_ip:/tmp

この時点で、発行された証明書をWebサーバー、VPN、構成管理ツール、データベースシステムなどで使用したり、クライアント認証の目的で使用したりできるようになります。

(オプション)—証明書の取り消し

場合によっては、ユーザーまたはサーバーが証明書を使用できないようにするために、証明書を取り消す必要があります。 誰かのラップトップが盗まれたか、Webサーバーが侵害されたか、従業員または請負業者が組織を去った可能性があります。

証明書を取り消すには、一般的なプロセスは次の手順に従います。

  1. ./easyrsa revoke client_nameコマンドで証明書を取り消します。
  2. ./easyrsa gen-crlコマンドを使用して新しいCRLを生成します。
  3. 更新されたcrl.pemファイルをCAに依存するサーバーに転送し、それらのシステムで、それを参照するプログラムに必要なディレクトリにコピーします。
  4. CAとCRLファイルを使用するすべてのサービスを再起動します。

このプロセスを使用して、以前に発行した証明書をいつでも取り消すことができます。 次のセクションでは、revokeコマンドから始めて、各ステップについて詳しく説明します。

証明書の取り消し

証明書を取り消すには、CAサーバーのeasy-rsaディレクトリに移動します。

  1. cd ~/easy-rsa

次に、revokeオプションを指定してeasyrsaスクリプトを実行し、その後に取り消したいクライアント名を続けます。 上記の実践例に従うと、証明書の共通名はsammy-serverです。

  1. ./easyrsa revoke sammy-server

これにより、yesと入力して、失効を確認するように求められます。

Output
Please confirm you wish to revoke the certificate with the following subject: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes . . . Revoking Certificate 8348B3F146A765581946040D5C4D590A . . .

Revoking Certificate行で強調表示されている値に注意してください。 この値は、取り消されている証明書の一意のシリアル番号です。 このセクションの最後のステップで失効リストを調べて、証明書が含まれていることを確認する場合は、この値が必要になります。

アクションを確認した後、CAは証明書を取り消します。 ただし、CAに依存するリモートシステムには、証明書が取り消されているかどうかを確認する方法がありません。 ユーザーとサーバーは、CAの証明書失効リスト(CRL)がCAに依存するすべてのシステムに配布されるまで、引き続き証明書を使用できます。

次のステップでは、CRLを生成するか、既存のcrl.pemファイルを更新します。

証明書失効リストの生成

証明書を取り消すことができたので、CAサーバで取り消された証明書のリストを更新することが重要です。 失効リストを更新すると、CAに有効な証明書を持っているユーザーとシステムを確認できます。

CRLを生成するには、~/easy-rsaディレクトリ内で、gen-crlオプションを指定してeasy-rsaコマンドを実行します。

  1. ./easyrsa gen-crl

ca.keyファイルの作成時にパスフレーズを使用した場合は、パスフレーズを入力するように求められます。 gen-crlコマンドは、crl.pemというファイルを生成します。このファイルには、そのCAの取り消された証明書の更新されたリストが含まれています。

次に、gen-crlコマンドを実行するたびに、更新されたcrl.pemファイルをこのCAに依存するすべてのサーバーとクライアントに転送する必要があります。 それ以外の場合、クライアントとシステムは、CAを使用するサービスとシステムにアクセスできます。これらのサービスは、証明書の失効ステータスを知る必要があるためです。

証明書失効リストの転送

CAサーバーでCRLを生成したので、CAに依存するリモートシステムにCRLを転送する必要があります。 このファイルをサーバーに転送するには、scpコマンドを使用できます。

注:このチュートリアルでは、CRLを手動で生成および配布する方法について説明します。 OCSP-Stapling のような失効リストを配布およびチェックするためのより堅牢で自動化された方法がありますが、これらの方法の構成はこの記事の範囲を超えています。

root以外のユーザーとしてCAサーバーにログインしていることを確認し、your_server_ipの代わりに独自のサーバーIPまたはDNS名を使用して次のコマンドを実行します。

  1. scp ~/easy-rsa/pki/crl.pem sammy@your_server_ip:/tmp

ファイルがリモートシステム上にあるので、最後のステップは、失効リストの新しいコピーでサービスを更新することです。

CRLをサポートするサービスの更新

crl.pemファイルを使用するサービスを更新するために使用する必要のある手順をリストすることは、このチュートリアルの範囲を超えています。 通常、crl.pemファイルをサービスが期待する場所にコピーしてから、systemctlを使用して再起動する必要があります。

新しいcrl.pemファイルでサービスを更新すると、サービスは、取り消された証明書を使用しているクライアントまたはサーバーからの接続を拒否できるようになります。

CRLの内容の調査と検証

失効した証明書のリストを確認するなど、CRLファイルを調べたい場合は、CAサーバーのeasy-rsaディレクトリ内から次のopensslコマンドを使用します。

  1. cd ~/easy-rsa
  2. openssl crl -in pki/crl.pem -noout -text

このコマンドは、opensslツールがcrl.pemファイルのコピーとともにインストールされている任意のサーバーまたはシステムで実行することもできます。 たとえば、crl.pemファイルを2番目のシステムに転送し、sammy-server証明書が取り消されていることを確認する場合は、次のようにopensslコマンドを使用できます。ここで強調表示されているものの代わりに証明書を取り消したときにメモしたシリアル番号:

  1. openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

grepコマンドを使用して、失効手順でメモした一意のシリアル番号を確認する方法に注目してください。 これで、ユーザーとサービスへのアクセスを制限するために証明書失効リストに依存しているシステムで、証明書失効リストの内容を確認できます。

結論

このチュートリアルでは、スタンドアロンのUbuntu20.04サーバーでEasy-RSAパッケージを使用してプライベート認証局を作成しました。 CAに依存する当事者間で信頼モデルがどのように機能するかを学びました。 また、練習用サーバーの証明書署名要求(CSR)を作成して署名し、証明書を取り消す方法を学びました。 最後に、CAに依存するシステムの証明書失効リスト(CRL)を生成および配布して、サービスにアクセスしてはならないユーザーまたはサーバーがアクセスできないようにする方法を学びました。

これで、ユーザーに証明書を発行して、OpenVPNなどのサービスで使用できるようになりました。 CAを使用して、証明書を使用して開発およびステージングWebサーバーを構成し、非実稼働環境を保護することもできます。 開発中にTLS証明書でCAを使用すると、コードと環境を本番環境と可能な限り一致させることができます。

OpenSSLの使用方法について詳しく知りたい場合は、 OpenSSL Essentials:SSL証明書、秘密鍵、およびCSRの操作チュートリアルに、OpenSSLの基本を理解するのに役立つ多くの追加情報があります。